Blanchiment de capitaux et financement du terrorisme : la CNIL et ses homologues s’adressent aux législateurs européens
Le 20 mai 2022, la CNIL et ses homologues réunis au sein du Comité européen de la protection des données (CEPD), ont publié une lettre adressée au Parlement européen, à la Commission européenne, et au Conseil de l’Union européenne sur la proposition de nouveau cadre législatif concernant la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).
Le 20 juillet 2021, la Commission européenne a présenté un nouveau cadre législatif pour renforcer les règles européennes de lutte contre le blanchiment de capitaux et le financement du terrorisme. Son objectif est de permettre de mieux détecter les transactions et activités suspectes et de combler les failles dont profitent les criminels pour blanchir le produit d'activités illicites ou financer des activités terroristes par l'intermédiaire du système financier.
Après analyse de cette proposition de nouveau cadre législatif composée de plusieurs textes, la CNIL et ses homologues réunis au sein du CEPD ont adressé aux législateurs européens une lettre publique. Celle-ci appelle l'attention sur les enjeux importants que soulève cette proposition en matière de protection des données.
La CNIL et ses homologues estiment essentiel que les législateurs européens prennent mieux en compte les principes posés par le règlement général sur la protection des données (RGPD) dans l’élaboration de cette réglementation. Ils soulignent qu'une meilleure cohérence de la proposition de texte avec l’obligation posée par le RGPD de ne traiter que des données exactes, pertinentes, et limitées à ce qui est nécessaire, permettrait d'améliorer l'efficacité de la LCB-FT dans son ensemble.
Préciser les conditions de traitement des données personnelles dans les textes européens
La CNIL et ses homologues européens considèrent que les textes en cours d’élaboration devraient préciser les principales règles encadrant les traitements de données personnelles que devront mettre en œuvre les organismes concernés (banques, assurances, professionnels de l'immobilier, etc.) pour satisfaire à leurs obligations relatives à la LCB-FT.
Ils souhaitent, à ce titre, que les catégories de données ainsi que les conditions de leur utilisation soient précisées directement dans la réglementation en cours de négociation et non dans des normes techniques de réglementation spécifiques, des lignes directrices ou des recommandations, comme le prévoit la proposition législative.
Impliquer davantage le CEPD dans l’élaboration des textes
Le CEPD demande à être associé aux discussions européennes portant sur l’élaboration du paquet législatif.
La CNIL et ses homologues européens rappellent également la nécessité de prévoir, dans les textes européens, une plus grande implication du CEPD dans l’élaboration des normes techniques règlementaires, des lignes directrices et des recommandations relatives à la LCB-FT.
Prévoir des garanties pour le traitement des données sensibles et des données relatives aux condamnations pénales
Dans sa lettre, la CNIL et ses homologues européens invitent les législateurs européens à apporter des précisions sur la nature des données sensibles (opinions politiques, convictions religieuses, etc.), ainsi que sur les données relatives aux infractions devant être traitées par les organismes concernés pour satisfaire à leurs obligations relatives à LCB-FT, et d’intégrer des garanties supplémentaires dans le texte visant à assurer une meilleure protection de ces données.
Encadrer les sources de données utilisées par les organismes concernés
La CNIL et ses homologues européens suggèrent aux législateurs de mieux encadrer les sources utilisées par les organismes concernés pour recueillir les informations sur leurs clients.
Ils appellent plus particulièrement l’attention des législateurs sur la nécessité d’encadrer l’activité des prestataires de services spécialisés dans la fourniture de l’information (communément appelés « watchlists ») au regard des exigences du RGPD.
La lettre rappelle, à ce sujet, que les autorités de protection des données nationales ont le pouvoir d’initier des investigations et d’adopter des mesures répressives en cas de non-respect du RGPD par ces acteurs, en particulier sur le traitement des données sensibles et des données relatives aux infractions et condamnations pénales.
Les textes de référence
- Cadre législatif européen législatif relatif à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) [en anglais] - Commission européenne
- La lettre du CEPD adressée aux institutions européennes sur la proposition de cadre législatif LCB-FT [en anglais] - Comité européen de la protection des données